Zdaniem specjalistów warto zrozumieć i zaakceptować istniejące ograniczenia technologii i skoncentrować się przede wszystkim na analizie ryzyka i opracowaniu strategii umożliwiających jego minimalizację.

Specjaliści od bezpieczeństwa korporacyjnych systemów IT tracą nadzieję, że rozwiązania techniczne, nawet przy największych inwestycjach, mogą wystarczyć do ochrony przed zagrożeniami. Ich uwaga w coraz większym stopniu koncentruje się na mechanizmach związanych z organizacją, analizami, planowaniem, współpracą, a także zwiększaniem świadomości i kwalifikacji użytkowników i programistów w dziedzinie bezpieczeństwa. A technologie stają się tylko narzędziem umożliwiającym realizację polityki i strategii bezpieczeństwa.

W rzeczywistości było tak zawsze, ale wiara w technologie często powodowała, że zakup, instalację i wdrożenie zaawansowanego systemu zabezpieczeń traktowano jako najważniejszy element wystarczający do zapewnienia odpowiedniego poziomu bezpieczeństwa. Obecnie narasta przekonanie, że ważniejsi są ludzie, którzy wspomagani przez narzędzia monitorujące i analityczne mogą ocenić i przewidzieć, jakie zagrożenia są największe obecnie, a jakie będą ważne w przyszłości.

Ponieważ trudno oczekiwać, by każda firma lub korporacja była w stanie utworzyć własne, rozbudowane zespoły do analizy i badań bezpieczeństwa, rośnie znaczenie współpracy. Zdaniem niektórych specjalistów mechanizmy wymiany informacji o zagrożeniach są już obecnie najbardziej efektywnym narzędziem obronnym.

Ciągłe balansowanie

Rozwój i zmiany w technologiach IT związanych z bezpieczeństwem są obecnie tak szybkie, że nadążenie za nimi, zwłaszcza w firmach wyposażonych w duże i skomplikowane systemy IT, jest zadaniem praktycznie niewykonalnym.

Z drugiej strony, rosną świadomość i oczekiwania użytkowników w stosunku do zabezpieczeń przed zagrożeniami, a jednocześnie przepisy prawne w wielu krajach są modyfikowane w kierunku wymuszania wprowadzenia przez firmy zaawansowanych i coraz bardziej kosztownych, zwłaszcza w utrzymaniu, systemów bezpieczeństwa. W efekcie korporacje muszą bezustannie balansować na krawędzi określanej przez koszty, poziom bezpieczeństwa oraz efektywność i możliwość niezakłóconego utrzymania aplikacji biznesowych w ruchu.

Niestety sama technologia nie jest w stanie pomóc w rozwiązaniu tego problemu i wydaje się, że tylko inteligentna analiza zagrożeń i inwestycje w ludzi oraz narzędzia umożliwiające minimalizację niebezpieczeństw są obecnie krytycznym elementem bezpieczeństwa dla każdego systemu korporacyjnego. Takie podstawowe wnioski można wyciągnąć m.in. z informacji prezentowanych przez przedstawicieli instytucji finansowych, a więc firm chyba najbardziej wrażliwych na bezpieczeństwo systemów IT, podczas sierpniowych konferencji Usenix Security Symposium w Bostonie oraz Gartner IT Security Summit 2007 w Sydney.

Najlepsze narzędzie - wymiana informacji

Nie tylko utworzenie systemu bezpieczeństwa w pełni chroniącego przed atakami jest niemożliwe, nawet zastosowanie mechanizmów szybkiej, ciągłej aktualizacji i instalacji publikowanych poprawek i łat w praktyce jest niewykonalne w przypadku dużych, skomplikowanych systemów IT wykorzystywanych w korporacjach. Taką opinię podczas Usenix Security Symposium w Bostonie wyraził Jerry Brady, dyrektor ds. bezpieczeństwa IT w firmie Morgan Stanley.

Poziom bezpieczeństwa zmienia się bez przerwy i dlatego w dużych firmach jedyną metodą umożliwiającą utrzymanie ciągłości biznesu i efektywnego zapewnienia akceptowalnego poziomu bezpieczeństwa jest wdrożenie systemów elastycznej polityki i kontroli bezpieczeństwa wykorzystujących mechanizmy szybkiej wymiany informacji z innymi firmami i agencjami zajmującymi się oceną i analizą zagrożeń.

Tego typu strategia wykorzystująca prawie ciągłe modyfikowanie i dopasowywanie polityki bezpieczeństwa do bieżącej sytuacji wymaga inwestycji w zespoły badawcze zajmujące się analizą nowych pojawiających się zagrożeń i ich potencjalnego wpływu na procesy biznesowe. Ma to jednak znaczenie kluczowe dla bezpieczeństwa korporacji.

Jednym z największych problemów, przed którymi stoją obecnie instytucje finansowe, jest zabezpieczanie własnych, opracowanych przez ostatnie 10 lat, działających aplikacji biznesowych, które były opracowywane pod naciskiem jak najszybszego dostarczenia nowych konkurencyjnych usług, a sprawy bezpieczeństwa były na drugim planie i odpowiednie mechanizmy zabezpieczeń często wprowadzano lub poprawiano już po wprowadzeniu usługi na rynek, przyznaje Jerry Brady. Sądzi on, że lepszym rozwiązaniem jest inwestycja w intensywne szkolenie programistów oraz projektowanie procesów tworzenia bezpiecznego oprogramowania niż wydawanie środków na testowanie i poprawianie już istniejących aplikacji.

Najefektywniejszym narzędziem do walki z zagrożeniami, które pojawiło się w ostatnich latach i wykorzystywanym m.in. właśnie przez instytucje finansowe, jest współpraca i wymiana informacji o nowych technikach i źródłach ataków zarówno między firmami, jak i organizacjami zajmującymi się bezpieczeństwem. Jeszcze kilkanaście lat temu było to praktycznie niemożliwe, ponieważ korporacje z reguły bardzo niechętnie udzielały jakichkolwiek informacji o atakach i problemach związanych z ich systemem IT. Obecnie jednak firmy przekonały się, że nie warto tego ukrywać, bo taka wymiana informacji pomaga wszystkim i jest wartościowym oraz efektywnym narzędziem do walki z zagrożeniami.

"Ludzie, którzy planują ataki na instytucje finansowe, analizują nasze systemy i mechanizmy zabezpieczeń. Dlatego też musimy rozwijać systemy monitorowania i inteligentnej analizy zagrożeń, które mogą dostarczyć informacji nie tylko o tym kim są i jak działają współcześni hakerzy, ale również w jakim kierunku ewoluują i kim będą w przyszłości. Tak duża firma jak Stanley Morgan nie jest w stanie szybko zmodyfikować swojej infrastruktury IT i dlatego musi dbać o rozwijanie wiedzy o hakerach i długofalowe planowanie" - mówi Jerry Brady. "W ostatnich latach niezależne instytucje finansowe zbudowały system wymiany informacji o zagrożeniach działający w czasie rzeczywistym i jeśli jakaś firma lub bank zostanie zaatakowana, inne prawie natychmiast uzyskują o tym szczegółowe informacje. Tego typu mechanizm obrony przed zagrożeniami jest znacznie bardziej efektywny niż rozwiązania technologiczne" - dodaje.